Rechercher

Connection Linguistique

Pourquoi les ransomwares sont devenus une menace majeure pour l'identité

Juillet 19th, 2023

Accueil » Blog » Pourquoi les ransomwares sont devenus une menace majeure pour l'identité

Les ransomwares continuent d'affliger les organisations du monde entier, avec plus de 493.3 millions d'attaques détectées en 2022. Malgré une prolifération de produits dans la pile de sécurité, les entreprises continuent d'être victimes de ces attaques, payant une moyenne de 812,360 XNUMX $ en demandes de rançon. Et le coût total pour une organisation est estimé à 4.5 millions de dollars, en raison du temps nécessaire à la détection et à la résolution de ces violations.

Cet article explore pourquoi les attaques de ransomwares ont augmenté de manière si spectaculaire, comment les angles morts de la protection de l'identité jouent un rôle fondamental dans ces attaques et ce que les organisations peuvent faire pour remédier à ces angles morts et arrêter les rançongiciels tout à fait.

Table des matières

  • Comment les ransomwares sont devenus un risque critique pour l'entreprise
  • L'impact des ransomwares est amplifié par le mouvement latéral
  • Les attaques par mouvement latéral sont alimentées par des informations d'identification compromises
  • Les attaques de ransomwares augmentent en raison de deux angles morts
  • Comment Silverfort Résout les angles morts de sécurité pour arrêter les ransomwares

    • Comment les ransomwares sont devenus un risque critique pour l'entreprise

    Bien que les rançongiciels ne soient pas un phénomène nouveau, les la première attaque enregistrée remonte à 1989 – ce n’est qu’au cours des dernières années que la crise est devenue aussi mondiale. En effet, les attaquants ont fait évoluer leurs techniques à un rythme beaucoup plus rapide que les organisations ne peuvent suivre. Jusqu'à il y a une dizaine d'années, par exemple, les acteurs malveillants n'avaient la possibilité d'infecter qu'une seule machine à la fois avec ransomware. Ce fut un désastre pour l’utilisateur ainsi qu’un problème pour l’équipe de sécurité, mais ne représentait finalement pas un risque organisationnel.

    Mais avec l'apparition de plusieurs cyberattaques désormais tristement célèbres en 2017 (dont WannaCry et NotPetya), les cybercriminels ont montré qu'ils pouvaient coupler une charge utile de chiffrement avec un mécanisme de propagation automatisé. Cela signifiait que les attaquants utilisaient désormais une nouvelle technique qui leur permettait de se déplacer dans un environnement et donc d'attaquer non seulement une machine à la fois, mais d'infecter toute une organisation à la fois.

    Un exemple récent et très médiatisé de cela a été l'attaque du pipeline colonial en mai 2021, qui a fermé une artère de carburant clé sur la côte est des États-Unis, entraînant des pénuries de carburant et la déclaration d'une urgence par le président. Cette année-là, en effet, les attaques ont augmenté de 78 % par rapport à 2020, 66 % de toutes les organisations mondiales étant touchées par des ransomwares.

    L'impact des ransomwares est amplifié par le mouvement latéral

    Pour comprendre pourquoi ces attaques sont devenues si répandues – et si réussies – il est important de comprendre le concept de mouvement latéral. Selon le Société MITRE, mouvement latéral est défini comme une série de techniques que les adversaires utilisent pour étendre leur présence dans un environnement suite à un compromis initial.

    Cette capacité à effectuer des mouvements latéraux a alimenté l'appétit insatiable d'aujourd'hui pour les rançongiciels, car un seul point de compromis peut désormais générer un gain potentiellement énorme pour les attaquants. En fait, le mouvement latéral est désormais utilisé dans 82 % de toutes les attaques de ransomwares. Il s'agit d'une évolution inquiétante, car il y a quelques années seulement, cette capacité était réservée aux cybercriminels hautement sophistiqués, tels que les groupes de piratage parrainés par l'État et les agences de renseignement étrangères.

    Examinons donc de plus près ce qui se passe réellement ici.

    Les attaques par mouvement latéral sont alimentées par des informations d'identification compromises

    Selon certaines estimations, il existe 24.6 milliards d'identifiants volés (c'est-à-dire des combinaisons nom d'utilisateur-mot de passe) disponibles à la vente sur le Dark Web. Cela représente un trésor pour les acteurs de menaces opportunistes qui cherchent à se livrer à l'extorsion de rançongiciels. Parce qu'avec ces informations d'identification en main, les attaquants savent qu'en utilisant des techniques éprouvées comme le phishing, le smishing ou l'ingénierie sociale, ils peuvent éventuellement obtenir un accès initial à l'environnement d'une organisation, puis sévir.

    La raison en est une faille fondamentale dans le infrastructure d'identité lui-même. Une fois que les attaquants ont accès à une machine initiale, il leur suffit de présenter les informations d'identification compromises au fournisseur d'identité responsable de l'authentification des utilisateurs (très probablement). Microsoft Active Directory (AD), qui est utilisé par 90% du Global Fortune 1000 – et le mouvement latéral peut commencer.

    C'est pourquoi le mouvement latéral est une menace d'identité si sérieuse, en raison de la disponibilité des informations d'identification volées des utilisateurs ainsi que de la capacité des attaquants à extraire les informations d'identification des machines compromises ou en interceptant le trafic réseau, ce qui permet aux cybercriminels de s'authentifier sur plusieurs machines dans un environnement, propager une charge utile de ransomware sur l'ensemble d'un réseau et chiffrer plusieurs machines simultanément.

    Les attaques de ransomwares augmentent en raison de deux angles morts

    Cela nous amène à un point important, car la mesure de sécurité dite l'authentification multifacteur (MFA) est connue pour être capable d'empêcher 99.9 % de toutes les cyberattaques. Pourtant, si tel est le cas, pourquoi ces attaques de rançongiciels se poursuivent-elles sans relâche ?

    Les raisons sont d'une simplicité alarmante.

    La MFA ne peut pas être appliquée partout
    Alors que MFA est disponible pour les applications SaaS, les charges de travail cloud et l'accès VPN ne peut pas être appliqué sur les outils d'accès en ligne de commande courants tels que PsExec, PowerShell et WMI. En effet, les protocoles d'authentification utilisés par AD, en particulier Kerberos et NTLM – ne prennent pas en charge MFA. Ces outils de ligne de commande sont régulièrement utilisés par les administrateurs réseau pour accéder à distance aux machines de leur réseau, mais ils sont également utilisés par les cybercriminels qui savent qu'ils peuvent les exploiter pour des déplacements latéraux à l'aide d'informations d'identification volées sans être gênés par MFA. C'est un angle mort critique.

    Protéger les Comptes de service est un défi
    Le deuxième angle mort concerne les comptes de service non humains (également appelés bots), qui sont des comptes de machine à machine utilisés pour exécuter automatiquement des fonctions importantes dans un environnement réseau, telles que la mise à jour de logiciels et la réalisation d'analyses telles que des bilans de santé. Le problème est que la plupart des organisations ne savent pas combien de ces comptes elles possèdent ou ce que chacun d'eux fait (c'est-à-dire, à quelles sources et destinations les différents comptes de service s'authentifient).

    La raison en est que il n'y a pas d'outil de diagnostic capable de découvrir tous ces comptes dans un environnement alarmant puisque de nombreuses organisations en comptent des milliers. Plus effrayant encore est le fait que les attaquants cherchent sans relâche à compromettre les comptes de service, qui ont souvent des privilèges élevés, afin qu'ils puissent effectuer des mouvements latéraux pratiquement sans être détectés et ainsi accéder facilement à plusieurs machines et systèmes.

    De nombreuses organisations ont mis en place un Solution de gestion des accès à privilèges (PAM) pour sécuriser les comptes d'utilisateurs, mais il existe des limites en ce qui concerne les comptes de service. En effet, l'accès au compte de service est généralement effectué en exécutant des scripts dans lesquels leurs informations d'identification sont codées en dur. Cela signifie que ces mots de passe ne peuvent pas faire l'objet d'une rotation automatique par un PAM et Bastion sans causer de problèmes (par exemple, un compte de service ne pouvant plus se connecter à sa machine de destination provoquant ainsi la rupture d'un processus critique).

    Comment Silverfort Résout les angles morts de sécurité pour arrêter les ransomwares

    La Silverfort Sécurité Protection d'identité plateforme a été créée pour combler ces angles morts. En se concentrant sur l'endroit où l'authentification de l'utilisateur a lieu (c'est-à-dire au sein du fournisseur d'identité), Silverfort peut étendre la prévention en temps réel des menaces d'identité à toutes les ressources et empêcher la propagation des ransomwares.

    La façon dont cela fonctionne est qu'AD transmet toutes les authentifications et tentatives d'accès à Silverfort pour un « second avis » avant toute décision d'accès. Une fois Silverfort reçoit la demande, il l'analyse par rapport à son moteur de risque et aux politiques configurées pour déterminer si une vérification de sécurité supplémentaire - en particulier MFA - est nécessaire. Cela signifie Silverfort est effectivement indépendant du protocole : tant qu'un utilisateur s'authentifie auprès d'AD, cette demande peut être analysée et évaluée, que le protocole utilisé soit Kerberos, NTLM ou LDAP.

    Le résultat est que Silverfort peut appliquer MFA sur n'importe quelle ressource (soit via son propre service, soit via des intégrations avec n'importe quel fournisseur MFA), y compris les interfaces de ligne de commande que les attaquants utilisent constamment pour les mouvements latéraux. Cela résout le premier angle mort qui conduit à la propagation des ransomwares.

    Silverfort peut également découvrir et protéger tous les comptes de service. Étant donné que la plate-forme peut voir toutes les authentifications et demandes d'accès, elle peut rapidement identifier tous les comptes qui affichent un comportement répétitif et les étiqueter comme comptes de service. En outre, Silverfort peut fournir une "clôture virtuelle" pour ces comptes en leur permettant de se connecter uniquement à certaines machines spécifiées, déclenchant MFA (ou même bloquant l'accès) si ces comptes affichent un comportement qui s'écarte de leur activité normale. Cela signifie que tout attaquant qui a compromis un compte de service serait empêché d'effectuer un mouvement latéral.

    Tout cela se fait en configurant des politiques d'accès spécifiques dans le Silverfort plate-forme, qui est un processus simple et intuitif. Les politiques d'application de la MFA sur les ressources difficiles à protéger telles que l'accès à la ligne de commande, les partages de fichiers et les applications héritées peuvent être mises en place immédiatement, et de nombreuses organisations constatent qu'elles sont en mesure de découvrir et de protéger tous les comptes de service en quelques semaines et sans aucune perturbation des affaires.

    Contactez-nous aujourd'hui pour un demo et de voir comment Silverfort peut aider votre organisation à arrêter les ransomwares.


    Prêt pour une démo ?
    Inscrivez-vous aujourd'hui.

    Messages récents

    9 Mai 2024

    Silverfort annonce une nouvelle intégration avec Microsoft Entra ID EAM 

    6 Mai 2024

    Utiliser MITM pour contourner la protection anti-hameçonnage FIDO2

    2 mai, 2024

    Silverfort dévoilera une recherche au RSA 2024 : Utiliser MITM pour contourner les méthodes d'authentification modernes vers le SSO

    24 avril 2024

    5 façons d'améliorer votre hygiène AD avec Silverfort  
    Voir plus

    Suivez-nous

    Arrêtez les menaces sur l'identité